La conferencia sobre ciberseguridad RSA Conference de San Francisco deja al descubierto una vía de fuga de información privada a partir de las aplicaciones gratuitas que integran publicidad. Así lo ha confirmado un estudio elaborado por Kaspersky en el que se detalla el origen del problema, los fallos y las consecuencias para el usuario.
De algún modo, el desenmascaramiento de la recopilación de información de más de 87 millones de usuarios de Facebook por parte de Cambridge Analytica ha sensibilizado a la comunidad sobre la importancia del tratamiento de los datos personales. De hecho, en poco más de un mes Europa estrenará una nueva ley GDPR para proteger en mayor medida los derechos de las personas en este campo y obligará a las empresas a adaptar y acotar la política de tratamiento de datos. Pues bien, en pleno debate de dónde está el límite sobre la captación de información y datos, ahora surge una nueva vía por la que podemos exponer algunos de nuestros datos personales.
El riesgo de ciertas aplicaciones gratuitas con publicidad
La presente edición de la RSA Conference celebrada durante estos días en San Francisco ha sido el escenario en el que los investigadores de Kaspersky Labs han expuesto un interesante e inquietante estudio. El mismo deja patente el riesgo que entraña el tratamiento de datos que ejercen las aplicaciones que basan su modelo de negocio en la publicidad integrada. Apps gratis en su mayoría que muestran en su interfaz publicidad a cambio de sus servicios sin coste.
Por norma general, este tipo de apps recopilan algunos datos del usuario que sirven para personalizar la publicidad mostrada. El inconveniente, tal y como relatan los investigadores de Kaspersky, radica en el modo en el que se envían esos datos.
Para integrar este sistema publicitario se requiere la utilización de un SDK específico que, en muchas ocasiones, proviene de terceros. Y aquí viene el problema dado que el estudio expuesto por la empresa de seguridad detalla cómo estos SDKs son una vía por la que se fuga y se exponen algunos datos personales del usuario tales como el nombre, edad, género, ingresos, número de teléfono, correo electrónico, información del smartphone en cuestión e incluso la ubicación por GPS.
Robo y manipulación de tus datos
La base del problema, tal y como leemos en ZDNet, se centra en el envío de información a los servidores conectados a estos SDK que, en su mayoría, se produce por medio del protocolo http. El hecho de que dicho protocolo no cifre los datos enviados propicia que éstos queden a merced de cualquier ataque o robo de los mismos. Si bien durante este año los desarrolladores han adaptado gran parte de las apps (un 63%) al protocolo cifrado https, llama la atención que el 90% de las mismas sigan usando para ciertos procesos el anterior protocolo http.
Del igual modo, Kaspersky indica que el acceso a los datos recopilados permite que éstos puedan ser modificados en su viaje por la Red con el fin de manipular la publicidad mostrada y derive al usuario al acceso de malware, con el pertinente riesgo que ello supone.
Para rematar, desde Kaspersky alertan que este tipo de acciones se presentan incluso en apps que acumulan millones de descargas, aunque por ahora no ha trascendido el nombre de éstas.